Blog

Warum Microsoft 365 Schutz heute nicht optional ist

22. Dezember 2025 · 7 Min. Lesezeit · arian IT Redaktion
Warum Microsoft 365 Schutz heute nicht optional ist

Microsoft 365 ist aus dem Arbeitsalltag nicht mehr wegzudenken. E-Mails über Outlook, Dateien in OneDrive und SharePoint, Kommunikation über Teams – für die meisten Unternehmen läuft praktisch alles über Microsofts Cloud-Plattform. Und genau deshalb ist ein weit verbreiteter Irrtum so gefährlich: die Annahme, dass Microsoft sich um die Sicherheit Ihrer Daten kümmert.

Das Shared Responsibility Model: Was Microsoft schützt – und was nicht

Microsoft betreibt die Infrastruktur. Rechenzentren, Server, Netzwerke – das ist Microsofts Verantwortung. Aber Ihre Daten? Die sind Ihre Verantwortung. Microsoft nennt das Shared Responsibility Model, und es steht klar in den Nutzungsbedingungen.

Konkret bedeutet das:

  • Microsoft sichert: Infrastruktur, Plattform-Verfügbarkeit, physische Sicherheit der Rechenzentren
  • Sie sichern: Ihre Daten, Ihre Zugangskontrollen, Ihre Backups, Ihre Compliance

Wenn ein Mitarbeiter versehentlich eine wichtige SharePoint-Bibliothek löscht, wenn Ransomware Ihre OneDrive-Dateien verschlüsselt, oder wenn ein ehemaliger Mitarbeiter vor seinem Abgang E-Mails löscht – Microsoft stellt diese Daten nicht wieder her.

5 Sicherheitslücken die viele Unternehmen übersehen

1. Keine echte Backup-Strategie

Viele Unternehmen verlassen sich auf den Microsoft-Papierkorb. Was die wenigsten wissen: Gelöschte Elemente bleiben maximal 93 Tage erhalten. Danach sind sie unwiderruflich weg. Das ist kein Backup – das ist eine Gnadenfrist.

Ein echtes Backup sichert Ihre Daten unabhängig von Microsoft, in regelmäßigen Intervallen, mit der Möglichkeit zur Wiederherstellung auf einen beliebigen Zeitpunkt.

2. GoBD-konforme E-Mail-Archivierung fehlt

Geschäftliche E-Mails unterliegen in Deutschland der Aufbewahrungspflicht. Die GoBD schreiben vor, dass geschäftsrelevante E-Mails revisionssicher archiviert werden müssen – bis zu 10 Jahre lang. Microsoft 365 bietet von Haus aus keine GoBD-konforme Archivierung. Wer sich darauf verlässt, riskiert bei einer Prüfung ernsthafte Probleme. Mehr dazu lesen Sie in unserem Beitrag zur E-Mail-Archivierung.

3. Multi-Faktor-Authentifizierung (MFA) nicht aktiv

MFA ist die einfachste und wirksamste Maßnahme gegen Kontenübernahmen. Trotzdem ist sie in vielen Unternehmen nicht für alle Benutzer aktiviert. Ein gestohlenes Passwort – etwa durch Phishing – reicht dann aus, um vollen Zugriff auf E-Mails, Dateien und Teams zu erhalten.

4. Conditional Access nicht konfiguriert

Conditional Access Policies regeln, unter welchen Bedingungen ein Zugriff erlaubt wird. Beispiele: Zugriff nur von verwalteten Geräten, nur aus bestimmten Ländern, nur mit aktuellem Betriebssystem. Ohne diese Regeln kann sich jeder von jedem Gerät und jedem Ort der Welt anmelden – vorausgesetzt, er hat die Zugangsdaten.

5. Kein Monitoring bei verdächtigen Anmeldeaktivitäten

Loggt sich ein Benutzer um 3 Uhr morgens aus einem anderen Land ein? Werden massenhaft Dateien heruntergeladen? Ohne aktives Monitoring und Alerting bemerkt das niemand. Microsoft bietet zwar Protokolle, aber ohne aktive Überwachung und Auswertung sind diese Daten wertlos.

Die realen Risiken: Drei typische Szenarien

Szenario 1: Versehentliches Löschen

Ein Mitarbeiter räumt sein OneDrive auf und löscht einen Ordner mit Projektdaten. Nach 93 Tagen ist die Aufbewahrungsfrist abgelaufen. Die Daten sind weg – ohne Backup unwiederbringlich.

Szenario 2: Ransomware-Verschlüsselung

Ransomware verschlüsselt lokale Dateien, die sich über OneDrive-Sync in die Cloud synchronisieren. Die verschlüsselten Versionen überschreiben die Originale. Ohne unabhängiges Backup gibt es keinen sauberen Wiederherstellungspunkt.

Szenario 3: Ehemaliger Mitarbeiter

Ein Mitarbeiter verlässt das Unternehmen und löscht vorher systematisch E-Mails und Dateien. Sein Konto wird nach dem Austritt deaktiviert. 30 Tage später löscht Microsoft das Postfach automatisch – samt aller Inhalte.

So sichern Sie Microsoft 365 richtig ab

Ein umfassender Schutz für Microsoft 365 besteht aus mehreren Bausteinen:

  • Automatisches Backup: Alle M365-Daten (Exchange, OneDrive, SharePoint, Teams) regelmäßig sichern – idealerweise alle 2 Stunden
  • GoBD-konforme Archivierung: E-Mails revisionssicher archivieren, unabhängig von Microsoft
  • MFA für alle Benutzer: Keine Ausnahmen, auch nicht für die Geschäftsführung
  • Conditional Access: Zugriffsregeln basierend auf Gerät, Standort und Risikobewertung
  • Monitoring und Alerting: Automatische Benachrichtigung bei ungewöhnlichen Aktivitäten
  • Klare Offboarding-Prozesse: Daten sichern, bevor Konten gelöscht werden

arian CloudProtect: Microsoft 365 Backup alle 2 Stunden, GoBD-konforme E-Mail-Archivierung und Monitoring – alles aus einer Hand.

Mehr erfahren →

Microsoft 365 ist ein Werkzeug – kein Schutzschild

Microsoft 365 ist eine hervorragende Produktivitätsplattform. Aber es ist kein Sicherheitsprodukt. Wer seine geschäftskritischen Daten ausschließlich Microsoft anvertraut, ohne eigene Sicherungsmaßnahmen zu treffen, geht ein erhebliches Risiko ein.

Die gute Nachricht: Die notwendigen Maßnahmen sind weder komplex noch teuer. Sie müssen nur umgesetzt werden.

Sie möchten wissen, wie gut Ihre Microsoft-365-Umgebung aktuell geschützt ist? In einem kostenlosen Erstgespräch prüfen wir Ihre aktuelle Konfiguration und zeigen Ihnen, wo Handlungsbedarf besteht.

Interesse geweckt?

Kostenloses Erstgespräch – 30 Minuten, keine Verpflichtung.

Erstgespräch buchen →